


拝. 


InterSec 

シリ-ズについて 



本製品や添付のソフトウエアの特長、導入の際に巧っておいていただきたい事柄じついて説明します。 


InterSec シリーズとは（一2ぺージ） . 

Express 5800 / SG 300についてい4ぺージ) 


InterSec シリーズの紹介と製品の特長.機能につ 
いて説明しています。 

本製品の機能と特長について説明します。また、 
製品サポートやサービスの内容についてち説 B 月し 
ていまず。 


添がのディスクについて（一10ぺージ) 


本体に添付のディスクの紹介とその説明です。 










InterSec シリーズとは 


けール-イン-ワン」か6「ビルドアップ」へ。 

高度なセキュリティ管理により > 巧全かつ高速なイン 
ターネットビジネスを可能にするために生まれたのが 
rinterSec シリーブ」です。 

お使いになる環境や用途に応じてあ要となる機能を備え 
た装置を追力日することでシステムをビルドア、ソプするこ 
とができます。 




1台のラックにそれぞれの機能を持つ装置を}旨 
載（クラスタ構ぶ可能） 


InterSec シリーズの主な特長と利点は次のとおりです。 

• 省スぺース 

設置スペースを最小限に巧えたコンパクトな崖体を探用。 

• 運用性 

運巧を容易にずる管理ツール。 

• クイック スタート 

ウィザードおまの専用設定ツールを標準装備。短時闇でセットアップを完了します。 

• 高い拡張性 

専用機として、機能ごとに単体ユニットで動作させているために届途に応じた機能化張が容易に可能で 
ず。また、複数ユニットでクラスタ構成にすることによりシステムを化張していくことができます。 

• コストバフォーマンスの向上 

運巧目的への最適なチューニングが巧えるため、単機能の動作において高い性能を確保できます。ま 
た，単機能動作にお要な環境のみ提供できるため、余剰スペックがな<低コスト化が実現されます。 

• 管理の容易性 

環境設定や運用時における管理情報など、単機能が動作するにあ要な設定のみです。 そのため、 導人' 
運巧管理が容易に巧えまず。 
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InterSec シリーズには、目的や用途に応じて次のモデルが用意されています。 

• SG シ U- ズ（ファイアウォール） 

インターネットと接続した中ル規模の企業ネットワークを外部か5の不正なアクセスか6守るファイア 
ウォール専用機です。 

• FW シ U- ズ（ファイアウォール） 

Checkpoint FireWalM を搭載し，高度なアクセス制御が巧能な，大中規模の企業ネットワーク向けの 
ファイアウォール専用機です。 

• LB シ U- ズ（□-ドバランサ） 

複数台の Web サーバへのトラフィック（要求）を整理し，負荷分散によるレスポンスの向上を目的とし 
た装置です。 

• MW シリーズ(メール/ WEB) 

Web や FTP のサービスやインターネットを利用した電子メールの送受信や制御などインターネットで 
あ要となるサービスを提供する装置です。 

• CS シ U- ズ（プ□キシ） 

Web アクセス要ホにおけるプ□キシでのヒット率の向上（フォワードプ□キシ h Web サーバの負荷軽 
減' コンテンツ保護（リバースプ□キシ）を目的とした装置です。 

• VC シ U- ズ（ウィルスチェック） 

インターネット経由で受けミ度しされるファイル(電子メール添付のファイルや Web / FTP でダウン □— 
ドしたファイル）か5各種ウィルスをお化/除まし，オフィスへのウィルス侵入、外部へのウィルス流 
化を防ぐことを目的とした装置です。 

• RS シリーズ （U アルセキュア） 

Internet Security Systems 社の不正侵入檢巧システムである 「RealSecure Netw 併 k Sensor 」 を搭載 
した装置です。ネットワークを介したか部か6の侵入や攻擊> その他セキュリティ関連のイベントを 
リアルタイムに監視し、システムやネットワークのアクティビティを分析するセキュリティサービス 
を提供する装置です。 
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Express 5800 /SG30 日について 

本装置の概略と運用にあ要な情報を記します。 



Express 5800 / SG 300は、 NEC 独自のファイアウォールエンジンを搭載し 、 Virtual Private 
Network ( VPN ) 機能、ホスト型 IDS 機能を装備したセキュリティアプライアンス機器です。 
内部ネットワーク(社内 LAN など)と外部ネットワーク（インターネットなど)との圍のアクセ 
スを制御し、外部か6の不正な侵人を防ぎます。さ6に、 VPN 機能による届信の暗号化や 
ユーザ認証などを使って、インターネットなどの公衆のネットワーク上に、仮想的なユーザ 
専用のネットワークを実現することを可能にします。 

設定•運用-管理を Management Console ( WEB ベース GUI ) に集約することで容易であま 
な導入を実現し、設置したその日か6安全なネットワーク環境を提供します。 



化可能 

Express 5800 / SG 300が提供するファイアウォールの特徴は次のとおりです。 

• アクセス制御 

ステートフルインスペクション(适信を巧うときだけお要なポートを開く機能）により、 
高度なアクセス制御を可能とし、ユーザのセキュリティポリシに沿ったセキュアなネッ 
トワークを実現します。 
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• アドレス変換機能 ( NAT / NAPT ) 

外部ネットワークと内部ネットワークとの相互届信を可能とするため、アドレス変あ機 
能を実現しています。 

• 通信 量 制限機能 

ネットワークインターフェースごとに，届過するパケットの総量を制限することが可能 
です。これにより，アクセス過多によるサーバをダウンさせる DoS(Denial of 
Services ) • DDoS(Distributed Denial of Services ) などの攻擊が行われた場合にも、パ 
ケット量を制限し，サーバがダウンすることを防止します。 

• 不正アクセス対策 

—才ートディフェンス機能 

攻撃をは、ウェブサーバやメールサーバの持つ脆弱性をついた攻撃を斤う前に> ど' 
のサーバでどのサービスが稼動しているか事前に調査(ポートスキャン）しますが、 
Express 5800 / SG 300ではその事前調査活動をお化し，あたかもウェブサーバや 
メールサーバが数多くを在するかのように応答し、実隐じサービスが塚動している 
サーバの発見を困難にさせることが巧能です。さらに検化後、そのホストか6のア 
クセスを一を時圍すべて破棄しまず。 

-ステルススキヤン検化機能 

ステルススキャンはポートスキャンと同様に> 不正侵入のための前準備として行わ 
れます。届常□グなど1こお跡を残さないためその発見が困難となります。 Ex - 
press 5800 / SG 300では> ステルススキャン特有の正常でない适信をお化し、該当 
パケットの破棄と□グを化力することが可能でず。 

—円 ng Sweep 対策機能 

不正侵入のための前準備として> どのようなホストが稼動しているか調査するため 
に 、 Ping Sweep などが巧われます 。 Ping Sweep は > ある範囲の IP アドレス巧に 
ping をさ化し、応答を磕認することで、ホストの存在を調査するものです。 Ex ¬ 
press 5800 / SG 300 では， 円 ng Sweep をお化し、該当パケットの破棄と□グを化 
力ずることが巧能です。 

- SYN Flood 対策機能 

SYN 円 ood は， DoS 攻撃の一種で、サーバのリソースを消費し、サービスの提供 
をできなくする攻擊です。 Express 5800 / SG 300では， SYN 円 ood 攻擊を檢化し 
□グを化力します。この機能により、ターゲットとなったホストを守ることが可能 
でず。 

—IP Spoofing 対策機能 

IP Spoofing は、パケットの発信元を詐称する手まです。不正なアクセスを、あた 
かも内部からの許巧されたアクセスであるかのように見せかけ、内部ホストに対す 
る攻擊を可能にしまず。 Express 5800 / SG 300では、ルーティング情報などを元に 
IP Spoofing をお化し、該当パケットのが棄と□グを化力することが巧能です。 
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— traceroute ステルス磯能 

あるホストまでの経路や時聞を確認するためじ一般的に使われる traceroute コマン 
ドにより、経路の途中にファイアウォールがを在ずることを磕認できます。 Ex ¬ 
press 5800 / SG 300 では > traceroute コマンドに対してもそのを在を隠すことが巧 
能です。これじより、悪意を持ったクライアントから、攻擊の対まとなる可能性を 
ほ減し自分自身も守ることが巧能です。 

• ユーザ管理機能 

あ6かじめをめ6れたユーザに対してのみに、ファイアウォール機能じよって守6れた 
サービスを公開するため、その許可されたユーザ情報の管理、およびファイアウォール 
を届過するためのユーザ認証を行います。 

• URL フィルタリング機能 

あらかじめ URL を設定しておくことで、その Web サイトへのアクセスを制限できます。 
これによりインターネット上の巧ましくない Web サイトや業務に関係おい Web サイト 
へのアクセスをブ□ックし、教育環境-作業巧率の向上が見込めます。 

• VPN 機能 

VPN とは、インターネットのような公ホのネットワーク上に、仮想的なユーザ専用の 
ネットワークを実現する仕組みです。これにより、公衆ネットワーク上で起こりうる、 
通信の盗聴' 巧ざん' なりすましなどの危険性を排除することが巧能です。 
Express 5800 / SG 300では、通信相手との LAN 闇接続 VPN を構築することが可能であ 
り、安価に VPN 網を実現し、セキュアな通信環境を実現できます。 

• Management Console 

基本的なネットワークの設定かファイアウォールのセキュリティポリシの設をまで 
行うことのできる> 親一されたウェブブラウザベースのユーザインターフェースです。 

• 導入の容易性 

ネリ期導人設定ツール> 基本設をツール 、 Management Console (かんたん設定/詳細設 
を)により、ファイアウォールなどをあった経験のまいユーザでも簡単に導入、運用を開 
始することができます。また、ネットワークインターフェースを4ポート装備しているの 
で、八ードウェアの追力□購入をすることなく DMZ の構築が巧能です。 

•ホットスタンバイ構成が巧能 

二重化機能を標準でサポートしています。 SG 300 を2台使用することでホ、ソトスタンバ 
イ運用を実現し、可用性を高めまず。 
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ラ斗センスキー 


本製品を利用するためには、ライセンスキーの入手があ要となります。ライセンスキーを入 
手するためには、製品に同捆されているライセンス申請書に情報をご記入の上、ライセンス 
申請書に記載された宛先まで送付してください。約5営業日程度で e - mail にてライセンスキー 
を适巧いたします。通巧されたライセンスキーは重要な情報ですので、大切に保管してくだ 
さい。 

ライセンスキーは、サポートサービス製品を磨入いただき、サポートサービス申請をしてい 
ただく際1こわあ要な情報となります。 



アサポートサービス 


Express 5800 / SG 300のソフトウエアおよび OS をサポートするためには U 下の製品の購入 
が必須となります。 

EXP 58 /SG (1 年間）ソフトウェアサボートサービス 


サービス内容 

Express 5800 / SG 300のソフトウェアおよび OS について、お客様(担当の NEC 営業 / SE 
を含む)からの電話、電子メールおよび FAX による聞い合わせを巧うことができます。 

また、インターネットを利巧して、ソフトウェアおよひ' OS を利用可能な最新の状態へ無 
償でアップデートすることができます。 


I M-O • けードウ I ア関ずるヴービスは別途磬品を手配いただく必要びありまず。 

• ソフトウ I アサボートサービスはオンヴイトサービスを含んでお0ません。 

サービス有効期間 

ユーザ登録完了後> 1年園です。 

ソフトウ エア サポートサービスをご利用いただくじは、初年度分か6サポートサービス 
製品を手函していただく必要があります。 

また、サービス有劾期闇終了後も継続してサービスを受けるためには、サポートサービ 
ス製品を再度ご購人いただ < あ、要があります。 

サービス受付時間 

製せの営業日のうち、 AM 9:00〜 AM 12:00- PM 1: 00〜 PM 5:00 です。 

問い合わせ窓□のご案内 

お客様の登録が完了され次第，ご案内します。 


InterSec シリ—ズについて 


7 




• 問い合わせサポート範囲 

Express 5800 / SG 300にあ6かじめインス I ルされているソフトウェアおよび添付さ 
れている NEC 製のソフトウェアについてのお問い合わせに対応いたします。お客様の都 
合により、ソフトウェアを追力□または変更した場合、本サービスの対象かとなります。 

• サービス 開始手続を 

サポートサービス製品に同捆されている r ソフトウェアサポートサービス申請書」じあ要 
事項をご記人の上、 Fax にてさ付してください。申請書にはライセンスキーおよびサービ 
ス開始ホ望日を記人する欄などがあります。すべての項目がサービスを開始ずるじあた 
りあ要な情報ですので漏れなくご記入< ださい。 

お客様き録完了後、 Express 5800 / SG 3001こお入するサポートキーおよび登録完了のお 
巧6せがを付されます。 

n-O サボートサービスをご発をいただいてか5お客様への導入時までのサービスは r 暫定サ 
ポートサービス J としてサービスを提供させていただきまず。ただし、暫定サボート 
サービス提供期間は最長3力月とをせていただをまず。 

「ソフトウエアサボートサービス申請書 J はお客様ごとに異なつたらのとなつており、複 
写しての使巧はで走ません。 


• 暫定サポートサービス 


サポートサービス製品購入曰か6> ソフトウエアサポートサービス申請書にご記入いた 
だいたサービス開始を望日までの闇、暫定サポートサービスとして対応いたしまず。た 
だし、最長3力月を限度として，技術的な Q & A を提供します。 

• サービス 継続手続を 

サービス有》力期圍 （1 年闇)終了後わサービスを継続するためじは、新規にサポートサービ 
ス製品を購入する必要があります。 

また、継続のためにサポートサービス製品を購入いただいた場合じは、サービス有劾期 
闇終了時にさかのぼって開始されます。前回の有》力期闇が切れる前にサポートサービス 
の購入を行ってください。 
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注意-制限事頃 


下に示すを意'制限事項を確認の上、本装置を取り扱って<ださい。 

♦ソフトウェアアップデート機能を使巧するには、ソフトウェアサポートサービスを購入 
し、有劾なサポートキーを本製品にお人済みであることがあ要です。 

• ソフトウ王アのアップデートを巧うことで，設定画面等が本書の内容と異なる場合があ 
ります。その場合の操作ちまについてはアップデート後の Management Console のへル 
プを参照してください。 

• ユーザ認証の要求経路によって適届するルールを動的に変更することはできません。 

• 設定管理用にブラウザの利用できる環境がみ要です。 W 下のブラウザを推奨します。 

Microsoft Internet Explorer 6.0 SP 1 (日本語版- Windows 版） 

• ユーザ認1¢を行うには，ブラウザの利用できる環境がみ要です。と J 下のブラウザを推奨 
します。 

Microsoft Internet Explorer 6.0 SP 1 (日本語版- Windows 版） 

• ユーザ認11時に、ユーザがネ拥している端末と本製品との闇にソースアドレスを置き换 
えるゲートウェイが設置されている場合、そのゲートウェイを越えての認証はできませ 
ん。 

• システムの基本設定(インタフェースアドレス、ルーティング情報など)についてはかず 
Management Console の「基本設を」で行うか> またはシリアルコンソールか 6 sgsetup 
コマンドを実行して変更してください。 

• マルチキャスト通信じは対応していません。 

• リモートアクセス VPN 1 こはいくつかの制限事項があります。詳細については弊社営業担 
当または SE までお聞い合わせください。 

• VPN 届信を行うネットワークの途中にアドレス変換 ( NAT / NAPT ) を行う機器があると 
VPN 通信は巧えません。 

• 二重化構成でフェイルオーバが発生した場合、接続されていたセッションは切断されま 
ず。 
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添付のディスクについて 

本装置にはセットアップや保守.管理の際に使用する CD - ROM やフ□、ソピーディスクが添がされていま 
す。ここでは、これ6のディスクに格納されているソフトウェアやディスクの用途について説明します。 

I n-O 添付のフ□ツピーディスクや CD-ROM は、システムの設定び完了したをでも、システムの 
再インストールやシステムのな守•管理の際に使用ずる場合びありまず。なくさないよ5に 
大切に保管しておいてください。 


• バックアップ CD-ROM 

システムのバックアップとなる CD - ROM です。 

バックアップ CD - ROM には、システムのセットアップにあ要なソフトウェアや各種モジュールの化に 
システムの管理-監視をするための専用のアプリケーシヨン rESMPRO / ServerAgent 」 と r エクスプレ 
ス通報サービス」が格納されています。システムに備わった RAS 機能を十分に発揮させるためにぜひお 
使いください。 ESMPRO / ServerAgent の詳細な説日月はバックアップ CD - ROM 内のオンラインドキュ 
メントをご覧ください。エクスプレス届報サービスを使巧するには別途契約がお要です。お買いホめ 
の販売店または保守サービス会社にお問い合わせ < ださい。 

• 巧守•管理ツール CD-ROM 

本体およびシステムの保守-管理の際に使用する CD - ROM です。 

この CD - ROM には次のようなソフトウェアが格納されています。 

一保守.管理 ツール 

再セットアップの際に装置の維持.管理を斤うためのユーティリティを格納するためのパーティ 
シヨン(保守パーティシヨン）を作成したり、システム診断やオフライン保守ユーティリティなどの 
保守ツールを起動したりするときに巧用します。詳細は5章の r 保守-管理ツール」を参照してくだ 
さい。 

- MWA 

システムが立ち上が6ないようなときじ，リモート ( LAN 接続または RS -232 C ケーブルによるダイ 
レクト接続)で管理コンピュータか6本装置を管理する時に使届するソフトウェアです。詳細は5章 
の 「 MWA 」 を参照してください。 

— ESMPRO/ServerManager 

ESMPRO / ServerAgent がインス I ルされたコンピュータを管理します。詳細は保守-管理ツー 
ル CD-ROM 内のオンライン ドキュメントを参照してください。 


• 再インストール用ディスク（フ□ッピーディスク） 


再インストールの際に使用するフ□、ソピーディスクです。な<さないよう、大切に保管しておいてくだ 
さい。 

• 初期導入設定用ディスク（フ□ッピーディスク） 

Express 5800 / SG 300の初期導入時の設ををするためのフ□、ソピーディスクです。 
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